| 내용 |
2017년 8월 7일 영국의 디지털, 문화, 미디어 및 스포츠부(Department for Digital, Culture, Media and Sport)는 현재 상정 중인 데이터보호법안(Data Protection Bill)에 의해 이행될 데이터보호법의 개혁을 개괄적으로 설명하는 성명서를 발표했다. 성명서에서는 영국이 EU를 탈퇴함에도 불구하고, 데이터보호법의 이행을 통해 유럽연합의 일반정보보호규정(GDPR, General Data Protection Regulation)을 따르고, 이를 통해 영국과 유럽연합의 데이터 유통의 효율성을 높이는데 중점을 둔다는 내용이 포함되었다. 성명서에서는 법안에 포함될 몇 가지 중요한 개혁사항에 대해 설명하고 있는데, 대부분은 아래와 같이 GDPR의 내용을 반복하거나 그와 유사한 내용이다. o lsquo;개인 데이터(personal data) rsquo;의 개념을 IP 주소, 인터넷 쿠키, 그리고 DNS를 포함하여 정의함으로써 확대 o 개인정보 이용에 있어 동의 철회를 단순화하고 데이터 주체(data subject)에게 마케팅 목적의 선전물을 발송하기 위한 옵트인(사전동의) 요구 등 GDPR 수준으로 동의 규정 상향 o 자신의 데이터를 서비스 제공자 사이에 이전할 수 있도록 이용자가 요구할 수 있는 권리 도입(데이터 이동권); 자신의 개인 데이터 삭제 요구 권리(잊힐 권리); 자동화된 수단에 의해 이루어진 결정에 대해 검토할 수 있는 권리 o 정보보호감독관(ICO, Information Commissioner rsquo;s Office)에 사고 발생 72시간 내 보고하고, 해당 데이터 주체에게도 통지할 것 o 규정 위반 시 2천만 유로 혹은 전 세계 매출 중 4%를 부과하는 GDPR과 유사한 벌금 등 엄격한 처벌규정 이번 성명서에서는 GDPR의 규정을 어느 정도 준수하는 한편, 영국과 유럽연합의 데이터 유통의 효율성을 높이기 위한 내용을 담고 있다. 즉, 영국의 이익을 추구하기 위한 변경사항을 데이터 보호 법안에 반영하겠다는 것이다. 그러나 그러한 변경사항도 GDPR에서 제시된 유럽연합 회원국가의 권한 허용범위에 포함된다. GDPR을 반영하여 변경된 몇몇 수정 사항은 아래와 같다. o 명시적인 동의를 할 수 있는 최소 나이는 ICO의 가이드에서 12세였는데, 이를 GDPR과 맞추어 13세로 상향된다.(GDPR에서는 각 회원국이 최소 나이를 13세에서 16세 사이에서 정하도록 하고 있다) o 잊힐 권리의 확장으로서, 개인은 18세가 되면 소셜 미디어 기업을 대상으로 자신의 모든 게시물을 삭제하도록 요구할 수 있는 권리를 부여받는다.(GDPR과 어떻게 다른지에 대한 세부적인 내용을 제시하고 있지 않다) o GDPR에서는 범죄행위에 대한 데이터 처리가 공식 기관에 한정되지만, 영국의 데이터보호법안에서는 특정 상황에서 모든 기관에 적용된다. 이는 기존의 영국 데이터보호 법률의 연속성을 지키려는 것이다. o 법안은 자동화된 결정에 근거한 결정에 데이터 주체가 거부할 수 있는 권리의 예외를 두고 있다. 법안에 따르면 이 권리는 데이터 주체의 자유와 권리, 그리고 합법적인 이익을 보장하는 적절한 조치사항을 조직이 취하는 경우 적용이 되지 않을 수 있다. 데이터 주체는 자동화된 수단에 전적으로 근거한 선호하지 않는 결정의 경우 GDPR과 같이 이 권리를 요구할 수 있다. 한편 이번 성명은 상세한 주요 내용에 부족하여 실무자의 입장에서는 법안이 입법화되어 실제 집행사례가 축적될 때까지 기다려야 할 것으로 보인다. 역자의견: 영국을 브렉시트 이후에서 유럽시장 접근을 위해 다양한 노력을 기울이고 있는 가운데, 특히 개인정보 유통에 상당한 노력을 기울이고 있다. 이에 따라, GDPR에 상응하는 데이터보호 법률을 제정하고, 이를 준수하기 위한 노력을 기울이고 있어 향후 데이터 보호 규제수준은 유럽연합과 유사할 것으로 예상된다. |
